Lösung für RPC / msblast-Geschädigte

Bubti

Commodore
Dabei seit
Mai 2002
Beiträge
4.642
Lösung für RPC geschädigte

Okay habe es jetzt in einigen Foren gesehen das habe ich bisher als Lösung gefunden

Es ist ein EXPLOIT:

cert.uni-stuttgart.de/ticker/article.php?mid=1124

"Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt."

System patchen:

http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de

Edit: Ich habe den Link mal zum Link gemacht ;)
Ralph
 
Zuletzt von einem Moderator bearbeitet:

|Krypto|

Lt. Junior Grade
Dabei seit
Juni 2003
Beiträge
273
das ist ein Exploit, der Win2k und WinXP betrifft vielleicht auch das neue Win2003...
Das Problem hatte ich auchmal, als sich auf meinem libelings IRC Netz einer rumtrieb, der bei jedem der auf den Server connectet hat versuchte diesen Exploit auszuführen...
Dank router und linux sind solche Probleme jetzt weg :p

hier ein fix von M$
http://support.microsoft.com/default.aspx?scid=kb;en-us;823980
 

Matmuska

Ensign
Dabei seit
Juli 2003
Beiträge
236
hmm immer wenn ich den windows messenger bekomme ich so ne dumme meldung und das:headshot:: PC stürtz ab ! kann das vielleich daran liegen!?
 

KiNeTiXzZ

Lt. Commander
Dabei seit
März 2003
Beiträge
1.998
puhh THX bubti hatte den Fehler auch gerad
zum Glück war ich gerad am PC

@ matmuska bei mir kam der Fehler als ich den Messenger vollkommen per Firewall geblockt hab
 

Stonecracker20

Lieutenant
Dabei seit
Mai 2002
Beiträge
953
Irgendwie funken diese Links nimmer wie die in dem Thread hier z.B. ich klick drauf aber nix passiert mit Rechtsklick und "in neuem Fenster öffnen" gehts auch nicht und Copy & Paste funktioniert auch nicht. Was kann ich da machen?

greetz stone
 

ParAsiT

Cadet 3rd Year
Dabei seit
Juni 2003
Beiträge
53
Die msblast.exe bringt den Rechner zum Neustart.
Es nutzt eine Lücke in Folgenden Systemen:

Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows 2000 Terminal Services SP3
+ Microsoft Windows 2000 Advanced Server SP3
+ Microsoft Windows 2000 Datacenter Server SP3
+ Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Terminal Services SP2
+ Microsoft Windows 2000 Advanced Server SP2
+ Microsoft Windows 2000 Datacenter Server SP2
+ Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Terminal Services SP1
+ Microsoft Windows 2000 Advanced Server SP1
+ Microsoft Windows 2000 Datacenter Server SP1
+ Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Terminal Services
+ Microsoft Windows 2000 Advanced Server
+ Microsoft Windows 2000 Datacenter Server
+ Microsoft Windows 2000 Server
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP1
Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional

Es kann vonüberall her kommen.
 

mr.meeseeks.

Kaffee-Junkie
Dabei seit
Mai 2001
Beiträge
1.551
Kann es sein, das der Computerbase Server auch von diesem Problem betroffen ist?
Ich kann die Seite alle paar Minuten nicht erreichen, ebenso Planet3dnow.
:confused_alt:
 

Aixem

Commander
Dabei seit
Dez. 2001
Beiträge
2.234
Sehr seltsam.....
Naja vielen dank für die schnelle Lösung.
Helden T-Shirt geht an Bubti ;)

Aber wieso trift es gerade heute soviele, der Patch ist vom 17.06.2003
 
Zuletzt bearbeitet:

Sahneknuffi

Lieutenant
Dabei seit
Okt. 2001
Beiträge
942
Puh, das Ding ist hart.

Hatte in den letzten 20 Minuten 250 Angriffe von verschiedenen IPs.
Scheint auch ziemlich weit verbreitet zu sein, ne Freundin hat mich grad angeklingelt dass sie das Teil auch draufhat.

Gleiches gilt für nen Haufen leute im ICQ.

Die Symptome:

Der Computer beendet sich mit den Fenster, das man noch eine minute zeit hat seine Daten zu sichen und dann Windows XP von den NT Authoritätsservice heruntergefahren wird.
Nach ablauf der Minute fährt der Rechner runter.

Die Ursache:

Die ursache hierfür ist eine Datei names "msblast.exe" die sich in C:\windows\system versteckt, wobei sie sich nicht wirklich versteckt.
es handelt sich hierbei um einen Trojaner KEINEN virus.

Wie kann man den Trojaner ausschalten:

1. rechner vom inet trennen
2. dem Prozess "msblast.exe" im Taskmanger beenden
3. dann die datei "msblast.exe" löschen
4. Dann die windowsfirewall anstellen (achtung die gibt euch nur ca 20 min zeit, ist getestet da die angriffe weitergehen, auch wenn die datei nicht mehr vorhanden ist)
5. Hier die free version von zonealarm runterladen und installieren.

Natürlich tuts auch ne andere gute Firewall wie z.B. McAffee.

Have Fun.
 

Loopo

Admiral
Dabei seit
Juli 2002
Beiträge
7.610
man sollte sowieso alle sicherheitsrelevanten Patches installieren, wobei es diesen Patch schon länger gibt

wieso kommst du jetzt gerade damit !?
 

Sahneknuffi

Lieutenant
Dabei seit
Okt. 2001
Beiträge
942
Wenn der Patch nicht funzt gehts so:

Die Symptome:

Der Computer beendet sich mit den Fenster, das man noch eine minute zeit hat seine Daten zu sichen und dann Windows XP von den NT Authoritätsservice heruntergefahren wird.
Nach ablauf der Minute fährt der Rechner runter.

Die Ursache:

Die ursache hierfür ist eine Datei names "msblast.exe" die sich in C:\windows\system versteckt, wobei sie sich nicht wirklich versteckt.
es handelt sich hierbei um einen Trojaner KEINEN virus.

Wie kann man den Trojaner ausschalten:

1. Rechner vom inet trennen
2. den Prozess "msblast.exe" im Taskmanger beenden
3. dann die datei "msblast.exe" unter windows/system32/ löschen
4. Dann die windowsfirewall anstellen (achtung die gibt euch nur ca 20 min zeit, ist getestet da die angriffe weitergehen, auch wenn die datei nicht mehr vorhanden ist)
5. Hier die free version von zonealarm runterladen und installieren.
 

Loopo

Admiral
Dabei seit
Juli 2002
Beiträge
7.610
Original erstellt von Jarvid
Weil das Problem besonders heute heftig auftritt.
Nicht immer so mürrisch,tz ;)
okok, da ich immer alle Patches installier, hab ich davon nichts bemerkt, habe heute aber mit einem Bekannten telefoniert, der das Problem hatte, ist also doch recht nützlich (wobei ich ihm aber eben empfohlen habe, alle Patches zu installieren) :p
 

Aixem

Commander
Dabei seit
Dez. 2001
Beiträge
2.234
wie sieht es den aus...
Ich habe trotz dem Patch von Windows die MSBlast.exe drauf.
Habe den Prozess beendet und die betreffende Datei gelöscht, bin ich nun wieder safe ?
 

ParAsiT

Cadet 3rd Year
Dabei seit
Juni 2003
Beiträge
53
Es ist möglich das herunterfahren des Computers zu unterbrechen
einfach auf Start dann ausführen und

shutdown -a

eingeben. dass fährt der Rechner nicht mehr herunter und das das Fenster schliesst.
 
Top